Bliv klar til GDPR - Step by step -

Bliv klar til GDPR - Step by step -

Bliv klar til GDPR - Step by step -

I næste måned træder EU’s nye persondata-forordning, GDPR, i kraft. Men ifølge en undersøgelse foretaget af analyseinstituttet Wilke ved 33% ikke, hvad forordningen går ud på. Selvsamme undersøgelse slår fast, at 55% enten slet ikke eller kun delvist er klar til at håndtere de nye regler. En stærk indikation på, at mange virksomheder ikke når at være compliant til maj.

Men hvad kan din virksomhed gøre for at komme sikkert i mål?

Det får du svaret på her.

6 skridt der skaber en simpel og økonomisk tilgang til GDPR
For at sikre en enkel og økonomisk effektiv tilgang til GDPR kan din virksomhed med fordel benytte de seks følgende skridt:

  1. Identificer og få overblik over, hvor (i hvilke forretningsområder) I behandler personoplysninger.

  2. Vurder, hvordan I behandler personoplysninger i forhold til karakter, sammenhæng, omfang og formål.

  3. Vurder graden af de risici, I har identificeret med udgangspunkt i de registreredes rettigheder og frihedsrettigheder.

    Er der tale om:
    a. Lavrisikoområde/-proces
    b. Højrisikoområde/-proces

  4. Gennemfør ”passende” tekniske og organisatoriske foranstaltninger – herunder en vurdering af, hvad der i de konkrete situationer er ”passende”.

  5. Sikr, at I kan demonstrere, at behandlingen af personoplysninger er i overensstemmelse med forordningen. Det indebærer, at I vurderer, hvad der er nødvendig og tilstrækkelig (”passende”) dokumentation i de konkrete situationer.

  6. Vurder det acceptable risikoniveau på de væsentligste områder med mulighed for løbende at vurdere, at dette svarer til de faktiske forhold.

Høj- eller lavrisikoområde afgør behovet for procesbeskrivelse
Der er ikke nødvendigvis behov for, eller krav om, en detaljeret proces- eller dataflowbeskrivelse for samtlige processer. I den forbindelse er det vigtigt at fastslå, om der er tale om en aktivitet inden for et høj- eller lavrisikoområde, da det er afgørende for håndteringen og behovet for dokumentation.

Suppleret med den generelle indsats, som politikker, læring, databehandleraftaler, IT-behandlingssikkerhed m.v., skal I udarbejde følgende:

Risikofyldte processer

  1. Fortegnelse over, hvordan I behandler persondata (Artikel 30)
    • Formål med behandlingsaktiviteter og foranstaltninger til behandlingssikkerheden.

  2. Beskrivelse af tekniske og organisatoriske foranstaltninger (Artikel 32)
    • Det kan I dokumentere ved hjælp af flowchart og procesbeskrivelse.

  3. Derudover skal I sikre, at de pågældende foranstaltninger bliver eksekveret effektivt
    • Det kan I gøre ved at efterprøve og kontrollere; en opgave, en Data Protection Officer typisk vil være ansvarlig for.

Andre processer
For de mindre væsentlige lavrisikoområder skal I udføre en begrænset dokumentationsindsats ved at gøre følgende:

  1. Fortegnelse over, hvordan I behandler persondata (Artikel 30)
    • Formål med behandlingsaktiviteter og foranstaltninger til behandlingssikkerheden.

Øvrige processer

  1. For øvrige processer, hvor I vurderer, at aktiviteten ikke kræver særlig GDPRdokumentation, skal I ikke foretage jer yderligere.

GDPR stiller også krav til IT
Den nye persondataforordning stiller ikke kun krav til din virksomheds processer, men også til ERP- og IT systemer. Det er derfor ikke nok blot at investere i et nyt system – det kræver fokus på samspillet mellem system og interne processer at håndtere persondata efter de nye regler. På IT-området skal den skriftlige dokumentation omfatte:

  1. Proces for, hvordan I behandler anmodninger fra registrerede personer (Artikel 12-23)
    • Eksempelvis hvis registrerede ønsker indsigt i oplysninger og behandlinger eller at få rettet eller slettet sine oplysninger.
    • Udarbejd processer til behandling af klager m.v.

  2. Proces for, hvordan I anmelder brud til Datatilsynet (Artikel 33)
    • Etabler interne procedurer for sikkerhedsbrister.

  3. Proces for anmeldelse af brud til de registrerede (Artikel 34)
    • Etabler interne procedurer for sikkerhedsbrister.

  4. Databehandleraftaler, som sikrer, at IT-leverandører, samarbejdspartnere osv. er compliant (Artikel 28).

  5. Data Protection Impact Assessment (DPIA): Konsekvensanalyser inden I tager nye IT-systemer i brug med store mængder af personhenførbare data med henblik på at minimere risici for den registrerede (Artikel 35).

  6. IT-systemer skal indeholde passende standardindstillinger til håndtering af GDPR: Design- and Default kravet.

 

Sådan efterlever din virksomhedde nye regler
Det kan være en udfordring at få overblik over, om din virksomhed lever op til de gældende regler på området. Derfor har Erhvervsstyrelsen udarbejdet PrivacyKompasset.

Det hjælper din virksomhed i gang med at efterleve databeskyttelsesreglerne. Derudover får du svar på helt basale spørgsmål i forhold til korrekt datahåndtering.

Læs mere her:
startvaekst.virk.dk/privacykompasset.


 

Hvad?
Den 25. maj 2018 træder EU’s persondataforordning med navnet General Data Protection Regulation (GDPR) i kraft.

Hvorfor?
GDPR har som formål at styrke og ensrette databeskyttelsen for individer i EU.

Det siger databeskyttelsesforordningen

Artikel 24, stk. 1: Den dataansvarlige skal, under hensyntagen til behandlingens karakter, sammenhæng, omfang og formål samt sandsynligheden for og graden af de risici, der er for den registreredes rettigheder og frihedsrettigheder, gennemføre passende tekniske og organisatoriske foranstaltninger og kunne demonstrere, at behandlingen af personoplysninger er i overensstemmelse med forordningen.

Artikel 30: Desuden skal den dataansvarlige føre en skriftlig (overordnet) fortegnelse over de behandlinger, der foretages.

IT-behandlingssikkerheden skal ifølge databeskyttelsesforordningen være ”passende”. I Basico forventer vi, at Datatilsynet bl.a. vil benytte ISO 270001 som referenceramme for at vurdere ”passende” niveau.


Hvordan definerer du ”passende”?
En stor udfordring for mange virksomheder er at definere ”passende tekniske og organisatoriske sikkerhedsforanstaltninger”.

I forordningen er der kun meget lidt hjælp at hente, og der er ikke nødvendigvis nogle helt klare retningslinjer for, hvad ”passende” er. Dog kan du altid tage udgangspunkt i bonus pater-tankegangen som målestok for ”passende”, og hvad der anses som overordnet god skik.

Kontorrobotter er fremtiden

Vil du se, hvordan kontorrobotter i fremtiden vil revolutionere supportfunktionerne? Tilmeld dig Basicos nyhedsmail og få 5 videoeksempler på, hvorfor robotter er fremtiden, og hvordan de kan gøre dig mere effektiv og understøtte dig i dit arbejde.

Tilmeld dig her